DNSSEC e DNSCurve essenzialmente fanno la stessa cosa. Consentono a un client di verificare che i record di una risposta DNS siano identici a quelli inizialmente configurati dal proprietario della zona. Non sono a prova di proiettile; le zone madri, i registrar e i registri possono ancora fare ciò che vogliono con zone per le quali sono direttamente o indirettamente autorevoli. Ma è ancora meglio di niente.
Perché funzioni, le zone devono ovviamente essere firmate.
Le zone firmate con DNSCurve sono praticamente inesistenti. Il fatto che aggiunga crittografia è, in pratica, completamente inutile; dato il numero di zone firmate, la dimensione del pacchetto è sufficiente per indovinare qual è la query.
DNSSEC sta ottenendo una certa trazione, ma la sua implementazione rimane piuttosto lenta. Tuttavia, rimane molto più implementato di DNSCurve e gli strumenti più diffusi come i server openssh e mail possono trarne vantaggio.
Lo scenario più sicuro è quando la verifica viene eseguita dal client stesso. O almeno, se ti fidi della tua rete locale, sul router. Ora che dnsmasq supporta la convalida DNSSEC, anche i firmware dei router iniziano a supportarlo.
Ora, usando un resolver di terze parti e non facendo alcuna convalida sulla tua rete, tu:
1) fidati ciecamente di ciò che ti ha inviato il resolver.
2) anche se il resolver ti invia una risposta corretta, il segmento di rete tra il resolver e il tuo client rimane vulnerabile allo spoofing del DNS.
Se sei un cliente Comcast, il resolver DNS è il più vicino possibile dal tuo router e la tua connessione dipende completamente da Comcast.
Se utilizzi un altro risolutore di terze parti, è possibile utilizzare ogni hop tra il router e il risolutore per dirottare potenzialmente le risposte.
Quindi, l'opzione migliore rimane l'utilizzo di un resolver locale di convalida DNSSEC come Unbound.
I malware non interessano DNSSEC o DNSCurve. Una volta che il tuo computer è stato infettato, la maggior parte dei malware può iniettare direttamente tutto ciò che vogliono nel tuo browser e, se necessario, modificare le tue impostazioni DNS.
La privacy è un argomento completamente diverso, su cui si è appena iniziato a lavorare (vedi DNS considerazioni sulla privacy RFC).